浅谈企业网出口防火墙的选择

1.       防火墙作为专用安全设备，自身的安全性必须得到保障。防火墙的软硬件应该为一体化设计产品，硬件为专用硬件平台，软件为专用的安全操作系统，非通用操作系统加装防火墙软件。

2.       防火墙的性能参数主要包括防火墙的吞吐量，3DES×××吞吐量，每秒新建连接数，最大并发连接数四个指标。一般来说，这4个指标应该是完全匹配的，根据木桶原理，4个指标中某一个指标或某2个指标过高是没有任何意义的。

a)         一般来说，防火墙的吞吐量应该看防火墙的IMIX数据包吞吐能力，而不是普通防火墙厂家公布的大数据包吞吐量，因为在用户的实际网络环境中，真实数据流一般为混合包，混合包的吞吐能力表现了防火墙在用户真实网络环境中的处理能力。

b)        现在防火墙内部几乎都集成了IPsec ×××功能，一般防火墙采用专用的×××加速卡或CPU+协处理芯片的方式完成，3DES或AES ×××的吞吐率，体现了防火墙整体的性能。3DES ×××处理能力一般为防火墙IMIX吞吐率的一半左右。

c)        目前的防火墙均为状态检测防火墙，状态检测的防火墙能根据该 IP包所属的连接是新的还是旧的，决定该IP包是否符合防火墙的策略。因此，防火墙必须在内存中保留这一记录，这就是会话的由来，每一个连接，就是一个会话。在普通企业网络的环境中，一般防火墙用于访问控制，使用的协议常见的为http、FTP、VoIP等，http协议每一个href都将是一个连接，包括每一个的图片，因此，浏览一个网页，常常是同时出现二十个连接以上。这种连接迅速而来，又迅速完成（网页下载都有一个速度要求）。而ftp和telnet 就是另一个例子，就算下载上百兆的文件，也只是一个连接；而使用多线程下载工具，如BT等，每一个线程都是一个连接。因此，假设是一个500人的网络需要上网，其中同时浏览的有100人（平均20秒刷新一次），另外200人使用QQ、MSN，50人使用BT线程下载文件，还有50 人进行如telnet，数据库访问这样的会话；如果没有出口瓶颈，那么，实际的会话数估计是在2-3万附近。但如果有出口限制，那么就可能升级到5万左右。在正常的网络访问情况下，百兆/千兆的对外访问，为每用户保留100的session数完全能够满足企业网用户的需求并留有一定余量。防火墙的最大并发连接数参数过大对于用户没有任何意义，相反，当系统资源过多地用在会话保持的话，会相应损害每秒生成会话的能力，这是一个同样重要的性能指标。设定过高的会话数量，却降低了每秒生成会话的能力，其结果，只能是保留一些永远用不到的会话虚数而已。因此，在实际的网络环境中，用户应该选择与吞吐率和每秒新建连接相匹配的最大并发连接数，而不是简单追求虚高的数值。一般来说，10-100M的网络环境，20人左右用户，1万左右的并发连接数较为匹配；100-500M的网络环境，20-400用户，5万左右的并发连接较为匹配；600M-2G的网络环境，10-25万的并发连接数较为匹配。

d)        每秒新建会话数（New Session Per Second）是指单位时间内防火墙能够处理并建立起的访问会话连接的数量。这是一个消耗防火墙资源、考验防火墙处理能力的过程。新建会话能力和吞吐比并发会话数更加限制防火墙的性能，是真正的瓶颈，也是木桶原理中的短板，中小企业和分支机构的环境下的丢包往往是因为新建会话能力不够和吞吐能力太弱造成。如果每秒建立会话连接数的能力偏低，则证明防火墙的处理能力非常有限。

3.       目前的网络环境中，企业客户需要多种综合的安全功能进行统一的安全防护，对防火墙提出了UTM功能的需求。而目前市面上UTM产品众多，性能和功能都有较大的差别。很多UTM采用免费的UTM 技术，采用免费技术会带来众多的问题，如产品功能单一，技术不稳定，技术支持、升级无法得到保障，很多病毒无法查杀（误报、漏报多），UTM功能无法同时开启，甚至是法律上的风险（将免费软件用于商用存在法律风险）。因此，一款真正的UTM产品，必须具备以下几点：至少具备AV、DI、Anti-Spam、Web fliter四项内容安全功能，UTM功能为多个领先的内容安全厂家的技术的集成，不能用免费软件商用而成，所有UTM技术都能得到充分的支持和保障，并且UTM功能能够同时启用并保障足够的性能。

4.       在企业网络市场，网络环境复杂，变化快，客户需要防火墙在保障安全的同时能够支持丰富的路由功能并具备良好的扩展性。因此，要求防火墙产品为模块化结构，具备良好的扩展性，能够扩展支持多种广域网接口和高密度的局域网接口，支持虚拟路由器，OSPF、BGP、RIP等动态路由协议，支持组播、VoIP等复杂应用。

5.       需要防火墙有良好的管理界面和集中管理手段，小规模部署时，防火墙能够具备Web的管理界面，telnet\console等命令行管理方式，对单台防火墙不需要安装客户端软件就能进行管理；大规模部署时，同一品牌防火墙应能支持集中管理软件进行统一管理。

转载于:https://blog.51cto.com/ranran/50123